REST API를 사용하여 연속 내보내기 설정
클라우드용 Microsoft Defender 보안 경고 및 권장 사항을 연속으로 내보내면 Log Analytics 또는 Azure Event Hubs에서 데이터를 분석하는 데 도움이 될 수 있습니다. REST API를 사용하여 클라우드용 Defender에서 연속 내보내기를 설정할 수 있습니다.
팁
클라우드용 Defender는 CSV(쉼표로 구분된 값) 파일로 일회성 수동 내보내기를 수행하는 옵션도 제공합니다. CSV 파일을 다운로드하는 방법을 알아봅니다.
필수 조건
Microsoft Azure 구독이 필요합니다. Azure 구독이 없는 경우 무료 구독에 등록하면 됩니다.
Azure 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정해야 합니다.
필요한 역할 및 권한:
- 리소스 그룹의 보안 관리자 또는 소유자
- 대상 리소스에 대한 쓰기 권한
- Azure Policy DeployIfNotExist 정책을 사용하는 경우 정책을 할당할 수 있는 권한이 있어야 합니다.
- 데이터를 Event Hubs로 내보내려면 Event Hubs 정책에 대한 쓰기 권한이 있어야 합니다.
- Log Analytics 작업 영역으로 내보내려면 다음을 수행합니다.
SecurityCenterFree 솔루션이 있는 경우 작업 영역 솔루션에 대해 최소한의 읽기 권한이 있어야 합니다.
Microsoft.OperationsManagement/solutions/read.SecurityCenterFree 솔루션이 없는 경우 작업 영역 솔루션:
Microsoft.OperationsManagement/solutions/action에 대한 쓰기 권한이 있어야 합니다.Azure Monitor 및 Log Analytics 작업 영역 솔루션에 대해 자세히 알아보세요.
REST API를 사용하여 연속 내보내기 설정
클라우드용 Microsoft Defender 자동화 API를 사용하여 연속 내보내기를 설정하고 관리할 수 있습니다. 이 API를 사용하여 다음 대상으로 내보내기 위한 규칙을 만들거나 업데이트합니다.
- Azure Event Hubs
- Log Analytics 작업 영역
- Azure Logic Apps
또한 다른 테넌트의 이벤트 허브 또는 Log Analytics 작업 영역으로 데이터를 보낼 수도 있습니다.
참고 항목
REST API를 사용하여 연속 내보내기를 구성하는 경우 항상 결과에 부모 항목을 포함합니다.
다음은 API에서만 사용할 수 있는 옵션의 몇 가지 예입니다.
더 큰 볼륨: API를 사용하여 단일 구독에서 여러 내보내기 구성을 만들 수 있습니다. Azure Portal의 연속 내보내기 페이지는 구독당 내보내기 구성을 하나만 지원합니다.
추가 기능 - API는 Azure Portal에 표시되지 않은 매개 변수를 제공합니다. 예를 들면 자동화 리소스에 태그를 추가하고, Security Azure Portal의 연속 내보내기 페이지에서 제공되는 것보다 광범위한 경고 및 권장 사항 속성을 기준으로 내보내기를 정의할 수 있습니다.
특정 범위: API는 내보내기 구성 범위에 대해 보다 세부적인 수준을 제공합니다. API를 사용하여 내보내기를 정의하는 경우 리소스 그룹 수준에서 정의할 수 있습니다. Azure Portal에서 연속 내보내기 페이지를 사용하는 경우 구독 수준에서 정의해야 합니다.
팁
이러한 API 전용 옵션은 Azure Portal에 표시되지 않습니다. 이를 사용하는 경우 다른 구성이 있음을 알리는 배너가 표시됩니다.